Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
266<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
265<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
5.5.2.2.1 Länge e<strong>in</strong>er MIX-E<strong>in</strong>gabenachricht<br />
5.5.2.1.3 Hybride Verschlüsselung<br />
Gemäß §5.5.2 (1) gilt<br />
|N1 | ≤ |D1 | + |N2 |<br />
bzw. für i = 2, …, m gemäß §5.5.2.1.3 (3)<br />
|Ni| = max { basym, |Di| + |Ni+1| + ssym}. Um Übertragungskapazität zu sparen, wird bei der hybriden Verschlüsselung stets e<strong>in</strong> möglichst<br />
großer Teil N' des Klartextes N <strong>in</strong> den ersten, asymmetrisch verschlüsselten, Block h<strong>in</strong>e<strong>in</strong>gezogen,<br />
d.h. es ist, wenn N" der Rest von N ist,<br />
(2)<br />
c *<br />
E (N) := ⎨<br />
⎩ ⎧ cE (N) falls |N| ≤ basym cE (kSE ,N'), kSE (N") sonst.<br />
Da für i < m die Nachricht Ni+1 wenigstens aus e<strong>in</strong>em asymmetrisch verschlüsselten Block besteht,<br />
gilt für i < m stets |Ni+1| ≥ basym. Damit folgt nach Auflösung der obigen rekursiven Gleichungen<br />
m-1<br />
+ (m-2) • s sym + max { b asym , |D m | + |N m+1 | + s sym }. (5)<br />
|Dj|<br />
|N 1 | = ∑ j=1<br />
Im folgenden soll stets von Gleichung (5) ausgegangen werden.<br />
5.5.2.2.2 Abschätzung<br />
Die Strukturen der drei <strong>in</strong>teressierenden Nachrichtentypen s<strong>in</strong>d <strong>in</strong> den Bildern 5-43, 5-44 <strong>und</strong> 5-46<br />
dargestellt. Den Feldern s<strong>in</strong>d folgende Längen zugeordnet worden:<br />
Zur Bestimmung der Länge von c *<br />
E (N) ist zu beachten, daß zur Gewährleistung der Unbeobachtbarkeit<br />
die <strong>in</strong> §5.4.6.2 verwendete Verschlüsselung <strong>in</strong>determ<strong>in</strong>istisch se<strong>in</strong> muß.<br />
Bei Verwendung von RSA muß daher dessen Determ<strong>in</strong>ismus beseitigt werden, <strong>in</strong>dem die<br />
Nachricht vor der Verschlüsselung <strong>in</strong>determ<strong>in</strong>istisch codiert, d.h. im wesentlichen um e<strong>in</strong>e Anzahl a<br />
zufällig gewählter Bits erweitert wird.<br />
Die dadurch verursachte Längenexpansion kann s<strong>in</strong>nvoll genutzt werden, <strong>in</strong>dem eben jene a<br />
zusätzlichen Bits als symmetrischer Schlüssel kSE verwendet werden. Damit ist a = ssym. Die genaue Realisierung der „Erweiterung“ ist leider nicht trivial. So wurde gezeigt, daß speziell<br />
bei Verwendung von RSA die <strong>in</strong> [Chau_81] nahegelegte Codierung durch Voranstellen zufällig<br />
gewählter Bits e<strong>in</strong> unsicheres MIX-Netz ergibt, vgl. §5.4.6.8.<br />
Bild 5-43, 5-44, 5-46:<br />
• Zeitscheibennummer: 30 bit<br />
• Ortsnetzkennzeichen: 22 bit<br />
Bild 5-43, 5-44:<br />
• Entgeltmarke zur Bezahlung der Fernnetzbenutzung: 670 bit<br />
• Kanalkennzeichen: 28 bit<br />
Ungebrochen ist jedoch folgende Erweiterung, von der im folgenden auch ausgegangen werden soll:<br />
Vor der Verschlüsselung e<strong>in</strong>er Nachricht wählt sich der Verschlüßler e<strong>in</strong>en zufälligen, ssym bit langen<br />
Str<strong>in</strong>g <strong>und</strong> konkateniert ihn mit der Nachricht. Die so erweiterte Nachricht wird mit e<strong>in</strong>er festen <strong>und</strong><br />
möglichst wenig strukturerhaltenden Permutation π des Klartextraumes „verwürfelt“. Die Permutation<br />
π <strong>und</strong> ihre Inverse π -1 s<strong>in</strong>d allgeme<strong>in</strong> bekannt. (Sie könnten z.B. durch e<strong>in</strong>en festen Schlüssel e<strong>in</strong>es<br />
symmetrischen Konzelationssystems beschrieben werden.) Beim Entschlüsseln wird umgekehrt verfahren,<br />
d.h. zunächst die <strong>in</strong>verse Permutation π -1 angewandt <strong>und</strong> dann der ssym bit lange Str<strong>in</strong>g<br />
entfernt.<br />
Bild 5-46:<br />
• Unterscheidung bedeutungslose Nachricht / bedeutungsvolle Nachricht: 1 bit<br />
• Startwert sRG des PZBFG: 128 bit<br />
• Zeitschranke für Gültigkeit (d.h. das Warten von R auf G): 20 bit<br />
• Berechtigungsmarke zur Angabe der Priorität e<strong>in</strong>es Verb<strong>in</strong>dungswunsches: 670 bit<br />
Geht man von dieser Erweiterung aus, so ist<br />
|c *<br />
E (N)| = max { basym, |N| + ssym }. (3)<br />
Für die beiden Marken wurde jeweils angenommen, daß die Priorität der Berechtigungsmarke bzw.<br />
der Wert der Entgeltmarke nicht nur implizit <strong>in</strong> der Signatur (bei RSA: 660 bit) durch unterschiedliche<br />
Signaturen, sondern auch explizit (<strong>in</strong> weiteren 10 bit) angegeben wird. Dies erspart der<br />
kontrollierenden OVSt das Durchprobieren aller möglichen Schlüssel zum Prüfen von Signaturen.<br />
5.5.2.2 M<strong>in</strong>imale Dauer e<strong>in</strong>er Zeitscheibe<br />
Für e<strong>in</strong>e ZS- oder ZE-Kanalaufbaunachricht gilt für i = 1, …, m-1 jeweils |Di | = 30 bit, da der<br />
Schlüssel des symmetrischen Konzelationssystems bereits für die hybride Verschlüsselung gezählt<br />
wurde, <strong>und</strong> |Nm+1| = 0.<br />
Für e<strong>in</strong>e ZS-Kanalaufbaunachricht ist |Dm | = 750 bit, d.h. nach (5) |Nm | = 750 bit + ssym . Für<br />
e<strong>in</strong>e ZE-Kanalaufbaunachricht ist |Dm | = 58 bit, d.h. nach (5) |Nm | = basym .<br />
Damit folgt aus (5)<br />
LZS = (m-1) • (30 bit + ssym ) + 750 bit<br />
(6)<br />
LZE = (m-1) • (30 bit + ssym ) - ssym + basym .<br />
Jeder Netzabschluß muß für jede Zeitscheibe <strong>und</strong> jeden ihm zur Verfügung stehenden 64-kbit/s-<br />
Datenkanal drei MIX-E<strong>in</strong>gabenachrichten senden: e<strong>in</strong>e ZS- <strong>und</strong> e<strong>in</strong>e ZE-Kanalaufbaunachricht sowie<br />
e<strong>in</strong>e Verb<strong>in</strong>dungswunschnachricht. Deren Längen seien mit LZS , LZE bzw. LV bezeichnet.<br />
Die Länge e<strong>in</strong>er Rückmeldung (vgl. [PfPW1_89 §2.2.3]) wird mit LR bezeichnet. Wird RSA als<br />
Signatursystem verwendet, so gilt im wesentlichen LR = basym , was im folgenden auch angenommen<br />
werden soll. Da die Rückmeldungen ob ihrer kurzen Länge ohneh<strong>in</strong> kaum <strong>in</strong>s Gewicht fallen, wird<br />
angenommen, daß jeder Netzabschluß für jede Zeitscheibe e<strong>in</strong>e Rückmeldung sendet.<br />
E<strong>in</strong> Netzabschluß muß also <strong>in</strong> der Lage se<strong>in</strong>, über se<strong>in</strong>en Signalisierungskanal <strong>in</strong> jeder Zeitscheibe<br />
2 • (LZS + LZE + LV ) + LR bit zu übertragen, d.h. es muß gelten<br />
. (4)<br />
z ≥ 2 • (L ZS + L ZE + L V ) + L R<br />
b<br />
Für e<strong>in</strong>e Verb<strong>in</strong>dungswunschnachricht gilt für i = 1, …, m-1 jeweils |Di| = 30 bit, <strong>und</strong> |Dm| = 723 bit.<br />
Nach (5) ist |Nm | = 723 bit + |Nm+1 | + ssym . Umgekehrt reicht |Nm+1 | = basym aus, da der Empfänger<br />
lediglich 200 bit erhalten muß.<br />
Damit ist<br />
LV = (m-1) • (30 bit + ssym ) + basym + 723 bit. (7)<br />
Die Längen LZS, LZE <strong>und</strong> LV sollen im folgenden abgeschätzt werden. In §5.5.2.2.1 wird hierzu die<br />
Länge e<strong>in</strong>er MIX-E<strong>in</strong>gabenachricht allgeme<strong>in</strong> abgeschätzt, <strong>in</strong> §5.5.2.2.2 werden die speziellen Werte<br />
<strong>in</strong> Gleichung (4) e<strong>in</strong>gesetzt.